物联网卡安全分类管理实施指引

物联网一卡安全分类管理实施指引

为进一步加强物联网卡安全管理？促进物联网业务健康发展？根据《工业和信息化部办公厅关于加强物联网卡安全管理工作的通知》（工信厅网安〔 2020 号）要求？制定本指引。本指引规定了物联网卡安全分类管理的基本要求？主要包括：物联网卡功能定义、安全管理技术措施、分类安全管理和用户入网管理（含开户、过户）等要求？指导电信企业开展物联网卡安全管理工作。

1 物联网卡功能定义

物联网卡是指基于蜂窝移动通信网络？实现人、机、物之间通信连接的用户识别卡？要求采用物联网专用号码作为通信号码乡承载于物联网核心网专用网元。

1.1 语音功能

( 1 ）定向语音

定向语音是指使用物联网卡只能与特定号码进行语音通话？包括呼入和呼出方向。各电信企业应按照最小必要原则？严格限制语音通话的白名单号码数量？原则上语音呼入和呼出的白名单号码数量合计不超过 个。电信企业应严格限制定向语音白名单的变更次数？对于确需变更的 电信企业应加强审核？明确电信企业审核责任人并留存签字审核表。

( 2 ）非定向语音

非定向语音是指使用物联网卡可进行语音通话对象不受限包括呼入和呼出。

1.2 短信功能

( 1 ）定向短信

定向短信是指使用物联网卡仅能与短信管理平台的号码进行收发短信？不允许物联网卡与物联网卡之间、物联网卡与公众移动网电话号码之间收发短信。各物联网卡对应的短信管理平台号码由电信企业自行分配，原则上每张物联网卡绑定的平台号码数量（含发送和接收）合计不超过 个。电信企业应严格限制定向短信白名单的变更次数，对于确需变更的？电信企业应加强审核？明确电信企业审核责任人，并留存答字审核表。

( 2 ）非定向短信

非定向短信是指使用物联网卡发送或接收短信的对象不受限制。

1.3 流量功能

根据物联网卡流量功能是否受限？可分为定向流量和非定向流量。按照物联网卡使用流量额度？可以分为大流量和小流量。结合安全风险？物联网卡流量功能总体可分为定向流量、非定向大流量和非定向小流量。

( 1 ）定向流量

定向流量是指可通过技术措施限定物联网卡仅能访问特定IP URL 地址，原则上定向流量访问的 IP URL 地址白名单数量合计不超过 10 个。电信企业应严格限制定向流量白名单变更次数对于确需变更的？电信企业应加强审核？明确电信企业审核责任人？并留存签字审核表。

( 2 ）非定向小流量

非定向小流量指使用物联网卡可访问公网 IP URL 地址不受限制，且月均使用流量不超过 lOOMB

( 3 ）非定向大流量

非定向大流量是指使用物联网卡可访问公网 IP URL 地址不受限制？且月均使用流量大于 lOOMB

2 物联网卡安全管理措施

2.1 前置规范管理

2.1.1 专用号段

专用号段是指工业和信息化部颁发给电信企业的用于物联网、机器通信等专用码号资源。电信企业在发展物联网用户时？应严格使用物联网卡专用号段 并定期对专用号段使用合规性进行抽查。2012 卡片限定卡片限定是指通过嵌入、焊接、非标等方式？实现物联网卡与终端进行物理绑定的技术手段？有效防止物联网卡被挪用。主要表现为贴片卡、 eSIM卡和异形卡等？其中异形卡是通过改SIM卡的形状和大小？仅在特定物联网终端中可以使用。20L3 机卡绑定机卡绑定主要是针对可插拔的普通SIM卡？通过在相应的系统平台配置机卡绑定参数实现物联网卡与终端的软绑定。具体实现方式可分为两类：一类是电信企业在网络侧或连接管理平台上配置终端IMEI 与物联网号码、终端IMEI 池与物联网号码池的绑定关系；另一类是在终端侧采用机卡互锁方式。物联网机卡绑定仅能由电信企业进行操作 不得由购卡用户自行操作。

( 1 ）网络侧机卡绑定

一是通过HSS 签约功能实现绑定。物联网号码在HSS 签约机卡绑定功能；用户提前告知电信企业物联网终端的 IMEI 信息？由电信企业在网络侧进行配置？将 IMEI 与相应的物联网号码进

行绑定；或终端首次发生通信行为时节通过省内无线网络接入上报实际设备的 IMEI 值到刚E, MME 设备将用户硬件信息上报到 HSS, HSS 将设备IMEI IMSI 进行绑定；之后 终端再次发生通信行为时， HSS 核对用户的硬件信息和绑定的 IMEI 是否一如不一致？则直接拒绝用户接入。二是通过连接管理平台实现绑定。终端首次发生通信行为时？通过网络侧抓取终端设备的 IMEI 值？并在电信企业物联网连接管理平台上存储该 IMEI 值与物联网号码的对应关系；后续物联网卡请求连接到网络时冒物联网连接管理平台自动检查设备的 IMEI 值与物联网号码的对应关系？如不一致？则对物联网卡拒绝接入或采取停机措施。三是通过IMEI 池绑定。用户提前告知电信企业物联网终端IMEI 池信息？由电信企业在物联网连接管理平台或其他业务平台上进行配置？对应到相应的账户。终端发生通信行为时”3 -通过网络侧抓取终端设备的 IMEI 信息？并将抓取到的 IMEI 值抄送给相应的平台？由平台将该 IMEI 值与 IMEI 池进行比较。如果不在 IMEI 池内？则拒绝为用户提供服务。

( 2 ）终端侧机卡互锁方式

在物联网卡内单独设置一个区域 用于存储要绑定的终端IMEI直；用户提前告知电信企业物联网终端的 IMEI 信息？由电信企业写入物联网卡内；终端开机后读取出物联网卡内存储的 IMEI

并与终端自身 IMEI 值进行比较？判断是否一致。如判定为否？则停止通信功能服务。采用此种方式的物联网终端需要具备判断 IMEI 值的功能。

2.2 业务功能限定

区域限制

对于终端设备位置固定的物联网场景？女口水表、电表、市政监控设备、环境监测设备等？应严格限定物联网卡使用位置地点？如绑定基站标识或限制接入基站数量等。对于终端设备限定在一定地理范围内使用的物联网场景？电信企业应通过技术手段严格限定其使用区域，限定区域不得超过省级范围。

2.2.2 限额管控

限额管控是指结合使用场景和使用需求？限制物联网卡的业务使用量。电信企业应结合物联网卡的网络制式、使用需求，对物联网卡业务使用量进行分档限额管理。对于达到限定使用量的物联网卡？电信企业应及时暂停服务。

定向访问

( 1 ）定向语音

定向语音的实现方式主要包括：网络侧通过智能网进行语音控制？以及其他可以实现与固定的号码进行语音通话的技术手段。通过智能网进行语音控制主要是通过智能网的 SCP 网元实现。通过智能网 SCP 的控制？可以限制语音呼出和呼入的白名单？从而实现物联网卡的定向语音功能。具体流程为 当主叫发起呼叫后，经过交换设备SSP ( MSC/VLR ) , . SSP查询信息并发送至

– 4 -SCP, SCP根据SSP 上报来的呼叫事件启动不同的业务逻辑 然后SSP发出呼叫控制指令？指示SSP 进行下一步的动作？例如收号、接续、放音等等？从而实现各种智能业务。

( 2 ）定向短信

定向短信的实现方式可通过专用短信中心和专用网关控制短信收发号码？实现物联网卡仅可以与特定平台号码收发短信。点对平台定向短信的实现流程为：当行业用户申请开通短信功能时？电信企业为其分配一个短信接入号码 即短信管理平台号码。电信企业在相关平台上配置短信接入号码后？配置后的短信接入码自动同步至业务网关。完成配置后 告知用户短信接入信息并配合用户进行接入联调。当物联网终端发送短信时？会经过省 MSC 设备转发至专用短信中心？经过物联网业务网关后发送至业务平台。

( 3 ）定向流量

定向流量的实现方式包括：专线 VPDN 、专用 APN 、网络侧设置访问白名单、接入侧控制？以及其他可以实现仅访问固定IP URL 地址的方式。

方式一：专线 VPDN

专线 VPDN 是通过 IP 承载网及传输专线的方式实现的。采用此种方式 需要客户平台通过传输专线连接至省公司的 AR设备？通过 IP 专网 MPLS VPN GRE (L2TP IPs ）隧道的方式PGW 互通。

方式二：专用 APN

专用 APN 是通过各类 VPN 技术在公网疏通的逻辑隧道进行接入的。通过 GRE 方式实现企业 VPN 方案？终端通过 IP 方式的PDP ／承载激活接入到移动数据网络 移动数据网络提供到客户

数据中心企业的接入？即 GGSN 提供到企业网的接入？移动数据网络为企业所在网络分配 APN 。电信企业通过 APN 标识用户业务种类 同时对用户的业务访问权限进行控制。采用专用 APN后当物联网终端的访问流程为BTS ／巳NodeB一＞ BSC一＞ SGSN/MME+SGW一〉专网 GGSN/PGW ，通过公网隧道连接集团客户数据中 心。

“) -方式三：网络侧设置访问白名单

网络侧设置访问白名单的具体实现流程如下：在物联网专PCRF 上或直接在专网 PGW 上设置物联网用户开户及策略控制；用户访问网络时， PGW 将首先到 PCRF 上查询用户签约时的业务策略？并且使对应的业务策略规则生效；如果用户访问的IP URL 地址在白名单内 则继续访问特定的业务平台或应用系统；如果不在白名单内？则停止访问。

方式四：接入侧控制

接入侧控制主要是通过在接入侧终端或网关中配备相应的安全能力？使得终端或网关具备接收、执行安全策略以及上报访问行为数据等能力。其中 安全策略包括设置黑白名单列表、限制访问能力等。接入侧控制的技术思路如下：对于加载安全能力的终端？安全管理平台将安全策略直接下发至终端。终端访问应用平台时？自身安全能力将执行安全策略？判断目的 IP 地址、 URL是否在黑白名单中。如在白名单中？则正常访问；如在黑名单中或不在白名单中？则拒绝访问。对于已部署安全管控功能的网关？可实现流量定向访问。具体实现为：根据不同业务配置的安全策略？当终端向网关发起流量访问请求时？网关通过自身安全能力执行安全策略？判断目的 IP 地址、 URL 等是否在黑白名单中。如在白名单中，则正常接续访问；如在黑名单中或不在白名单中 则拒绝接续访问。

2.2.4 黑名单限制

黑名单限制是指通过在网络侧设置业务访问黑名单？或者在接入侧进行安全策略控制？技术原理及实现方式同 5. 2. 节。为有效防范物联网卡被违规挪用于手机上网业务？黑名单至少应包括以下 种类型的互联网应用：

1 社交类网站：如微信、 QQ 、微博等；

2 视频类网站：如抖音、快手、优酷、爱奇艺、腾讯视频等；

3 购物类网站：如淘宝、京东、唯品会等；

4游戏类网站：如 QQ 游戏等。

电信企业可在此基础上？针对不同的物联网业务场景？在黑名单中增加互联网应用限制。

23 后向使用监测

2.3.1 业务合规监测

( 1 ）机卡分离监测

机卡分离是指物联网卡被从一个物联网终端中拔出？在另一个终端设备中使用的行为。电信企业应按照前置规范管理要求对物联网卡与物联网终端进行机卡绑定型当物联网卡与终端的绑定关系发生变化或用在非 IMEI 池中的终端上时？电信企业应能及时发现？并输出相关的机卡分离记录。

( 2 ）跨区域使用监测

跨区域使用是指某些可以固定在某个位置或区域使用、通常不会发生位置移动的物联网设备发生通信位置变化的行为。电信企业应针对此类物联网卡进行跨区域使用监测，通过分析物联网话单数据中使用所在地的小区标识？对物联网卡使用区域进行精细化监测。如超出物联网卡使用区域 电信企业应输出相关的跨区域使用记录。可固定在某个位置使用的物联网卡使用场景包括但不限于

以下场景：

i 公共服务：电梯报警、视频监控、市政设施、智能抄表、环境监测、智慧停车等；

2 零售服务：智能广告等；智慧、农业：环境监测等；J 智慧、工业：采集类设备、视频监控等；

3智慧物流：智能快递柜、仓储视频监控等。

( 3 ）超阁值使用监测

淘值使用是指物联网卡每个月的短信、流量实际使用量超过开户时选择的使用量闽值的行为。电信企业应对物联网卡超闵值使用的行为进行监测 且在发现物联网卡超阂值使用后输出相关的超｜司值使用记录。

( 4 ）超白名单使用监测

7-超白名单使用是指物联网卡的语音主被叫号码超出开户时设定的语音白名单号码、短信收发号码超出开户时设定的短信白名单号码、访问的 IP URL地址超出定向访问白名单号码的通信行为。电信企业应对物联网卡超白名单使用的情况进行监测？且在发现物联网卡超白名单使用后？输出相关的超白名单使用记录。

2.3.2 异常使用监测

( 5 ）手机终端使用监测

手机终端使用是指物联网卡被放置在手机终端上使用的行为。电信企业应基于各企业内部的手机终端IMEI 库？对物联网卡所使用的终端IMEI 值进行监测。当发现物联网卡被使用在手机终端上时 应输出相关的手机终端使用记录。

( 6 ）异常使用行为监测

异常使用行为是指物联网卡产生了与合同规定场景不符的业务使用行为，如典型的人联网应用访问行为。电信企业应通过分析物联网卡实际访问的URL地址？查看其是否访问了典型入联网应用。当发现物联网卡发生异常访问行为时？应输出相关的异常使用记录？并及时更新黑名单限制列表。

典型入联网应用包括但不限于以下：

①社交类网站：如微信、 QQ 、微博等；

②视频类网站：如抖音、快手、优酷、爱奇艺、腾讯视频等；

③购物类网站：如淘宝、京东、唯品会等；

④游戏类网站：如QQ 游戏等。

电信企业可在此基础上？进一步增加其他人联网应用监测。

( 7 ）异常流量使用监测

异常流量使用是指物联网卡当月流量使用量大于前三个月月均流量使用量 倍以上的行为。电信企业应对物联网卡异常流量使用的行为进行监测？且在发现物联网卡流量使用异常后？输出相关的异常流量使用记录。

( 8 ）异常短信使用监测

– 8 -异常短信使用是指物联网卡当月短信使用量大于前三个月月均短信发送量 倍以上的行为。电信企业应对物联网卡短信异常使用的行为进行监测 且在发现物联网卡短信使用异常后输出相关的异常短信使用记录。

20303 重点场景监测

( 9 ）漫游至诈骗高发区使用监测

漫游至诈骗高发区使用是指物联网卡漫游至诈骗高发区使用的行为。电信企业应针对物联网卡的使用地点进行监测发现物联网卡漫游至诈骗高发区使用时？应输出相关的漫游至诈骗高发区使用记录。

( 10 ）其他监测模型

对于超出以上 类监测模型的？企业可自行定义。

3 物联网卡安全管理基本要求

基本原则

301.1 责任对等原则

按照“谁销售、谁负责”的原则？电信企业为物联网卡安全管理的第一责任人？应采取有效技术和管理措施加强物联网卡安全管理？防止物联网卡被挪用或违规使用。

3012 最小必要原则

物联网卡所开通功能、业务范围（包括可访问的 IP 地址、端口、通话及短信号码等）须与合同所约定的业务场景保持严格一致。

3.1.3 分类登记原则

结合物联网卡开通功能、业务属性等因素？通过综合评定物联网卡安全风险？分类实施登记管理。可参考附录《物联网卡行业分类及安全风险分析》。

32 总体要求

物联网卡安全管理总体要求？应至少包括以下：

( 1 ）物联网卡默认应关闭语音、短信功能。对于确需开通的？须严格实施定向限制。

( 2 ）对于开通流量功能的物联网卡？应设置最小必要数据流量限额。

( 3 ）对于开通定向大流量的物联网卡？须采用机卡绑定和黑名单限制手段；

( 4 ）对于开通非定向大流量的物联网卡？须严格采用卡片限定技术措施；

( 5 ）对于位青范围固走的物联网卡、须实施区域限制。

3.3 物联网卡分类安全管理要求

3.3.1 开通全业务功能物联网卡

对于开通全业务功能的物联网卡？按照业务属性可分为类场景 电信企业应采取管控措施？并做好用户登记。

( 1 ）针对场景 ＇在可实现流量定向访问限制的情况下？电信企业应实施定向语音、定向短信和定向流量管控限制？并采取机卡绑定、限额管控、黑名单限制、使用监测等措施降低安全风险。在此基础上？电信企业可登记责任单位和责任人信息。

( 2 ）针对场景 ，在流量无法实施定向限制 且开通大流量的情况下，针对位置固定的物联网卡？电信企业应实施定向语音、定向短信限制？采取卡片限定、区域限制、黑名单限制、使用监测等措施？防止作为流量卡使用。在此基础上？可登记到责任单位和责任人。针对位置不固定的物联网卡？电信企业应实施定向语音、定向短信限制？采取卡片限定、使用监测等措施？并登记到实际使用人。

( 3 ）针对场景 ，在流量无法实施定向限制？且开通小流量的情况下？针对位置固定的物联网卡？电信企业应实施定向语音、定向短信限制 采取区域限制、限额管控、黑名单限制？机卡绑定、使用监测等措施？降低挪用风险。在此基础上可登记到责任单位和责任人。针对位置不固定的物联网卡？电信企业应实施定向语音、定向短信限制？采取限额管控、黑名单限制、机卡绑定、使用监测等措施？并登记到责任单位和责任人。